Archiv der Kategorie: Praxis

Katholische DSK lässt Einwilligung in schlechtere ToMs zu

Verantwortliche müssen technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten – so steht es in § 26 KDG. Dazu gehören beispielsweise besonders gesicherte Kommunikationskanäle. Lediglich transportverschlüsselte E-Mail fällt damit regelmäßig aus – das ist sicher, aber unpraktisch. In der Praxis stellt sich daher die Frage, ob auf angemessene ToMs durch eine Einwilligung verzichtet werden kann: »Ich willige in eine Zusendung des Untersuchungsbefunds per E-Mail ein«, zum Beispiel.

Ein offenes Vorhängeschloss an einem Riegel
Mit Einwilligung darf das Schloss künftig manchmal ab. (Bildquelle: iMattSmart on Unsplash)

Bislang war die Position der katholischen Datenschutzkonferenz, dass eine Einwilligung in schlechtere ToMs nicht zulässig ist. Die Verpflichtung sei »zwingender Natur und steht mithin nicht zur Disposition der an der Datenverarbeitung Beteiligten«, lautete bislang der Beschluss. Nun hat die Konferenz der Diözesandatenschutzbeauftragten ihren Beschluss revidiert und spricht von einem »Dispositionsrecht zur Einwilligung in die Nichtanwendung von technischen und organisatorischen Maßnahmen«. Der Beschluss der Juni-Sitzung wurde jetzt veröffentlicht.

Weiterlesen

Ist der Elternbeirat eigene verantwortliche Stelle?

Elternbeiräte tragen viel Verantwortung für den guten Kontakt zwischen Eltern und Schule oder Kita. Aber tragen sie auch die datenschutzrechtliche Verantwortung? Die Antwort darauf hat Konsequenzen: Wenn die Mitbestimmungsgremien eigene Verantwortliche sind, müssen Eltervertreter*innen den ganzen Katalog der datenschutzrechtlichen Pflichten erfüllen. Sind sie es nicht, ist die Schule oder Kita auch für ihre Mitbestimmungsgremien verantwortlich – und muss damit auch im Blick haben und regulieren, wie Elternbeiräte arbeiten.

Erwachsene sitzen in einem Klassenraum
Symbolbild Elternabend (Bildquelle: Kenny Eliason on Unsplash)

Im kirchlichen Datenschutzrecht wird die Frage nicht einfacher: Bei eigenen Verantwortlichen muss nämlich zusätzlich die Frage beantwortet werden, ob diese Verantwortliche dann auch kirchliche Stellen sind – ob sie also DSGVO oder das jeweilige kirchliche Datenschutzgesetz anwenden müssen.

Weiterlesen

Muss die zuständige Aufsicht bei Informationen und Auskünften genannt werden?

Verantwortliche müssen Betroffene über ihr Beschwerderecht bei einer Datenschutzaufsicht hinweisen. Das ist in den Artikeln 12 bis 14 DSGVO für die Informationspflicht wie für die Auskunftspflicht geregelt.

Eine Brille liegt auf einem Vertrag
Bildquelle: Mari Helin on Unsplash

Beim Abfassen von Vorlagen stellen sich damit zwei Fragen: Genügt der allgemeine Hinweis – oder muss die zuständige Aufsicht benannt werden? Und gibt es hier Unterschiede in der Rechtslage zwischen der DSGVO und kirchlichem Recht?

Weiterlesen

Respektvolle Mediennutzung im Erzbistum Freiburg

Kirchliche Social-Media-Guidelines stehen nicht im besten Ruf. Die kontroverse Debatte um den Augsburger Social-Media-Codex von 2017, der Bistumsmitarbeitenden umfassende Regeln bis ins Privatleben auferlegte, dürfte einigen noch in Erinnerung sein.

Hände tippen auf einem Smartphone eine Nachricht
(Bildquelle: Pradamas Gifarry on Unsplash)

An unerwarteter, aber letztlich einsichtiger Stelle findet sich nun die jüngste Regelung für kirchliche Beschäftigte: Der im aktuellen Amtsblatt veröffentlichte »Spezifische Teil des Verhaltenskodex für pastorale Mitarbeiterinnen und Mitarbeiter in der Erzdiözese Freiburg« enthält auch einen Abschnitt zum »Umgang mit und Nutzung von Medien und sozialen Netzwerken«.

Weiterlesen

Kann man Einträge im Taufregister löschen lassen?

Taufregister sind für die Ewigkeit – wie das Taufsakrament. Auch nach einem Kirchenaustritt bleibt der Eintrag in den Kirchenbüchern erhalten. Das ist konfliktträchtig: Die Frage, ob das »Recht auf Vergessenwerden« auch für die kirchlichen Matrikel gilt, sorgt immer wieder für Konflikte und Unverständnis, wenn entsprechende Löschbegehren abgelehnt werden. Und das werden sie immer.

Kirchenbücher aus Stettin
Bildquelle: Clemens Schulz, Kirchenbücher, CC BY-SA 4.0

Tatsächlich findet sich in der Datenschutzgrundverordnung keine besondere Ausnahme für Kirchenbücher. Dennoch zieht sich durch die Rechtsprechung die Tendenz, dass nicht von einem Löschanspruch ausgegangen wird. Ein Blick in einschlägige Fälle aus verschiedenen EU-Mitgliedstaaten und zum theologischen Hintergrund zeigt, dass die Hoffnung, den eigenen Tauchbuch-Eintrag löschen zu lassen, wohl nicht erfüllt wird.

Weiterlesen

Betroffenenrechte sind Kinderrechte, keine Elternrechte – Interview mit Kerstin Fuchs

Auch Kinder und Jugendliche haben ein Recht auf informationelle Selbstbestimmung – und manchmal muss das auch gegen die Eltern durchgesetzt werden. Vor genau so einem Fall stand Kerstin Fuchs, die Geschäftsführerin des Wiesbadener Jugendhilfezentrums Johannesstift: Ein Vater wollte für seine Tochter Auskunftsrechte geltend machen und auch in höchstpersönliche Therapieunterlagen Einblick nehmen – gegen den Willen der damals Fünfzehnjährigen. Für das Johannesstift war klar: So geht es nicht. Die Datenschutzaufsicht gab der Einrichtung zwar recht, doch der Vater klagte vor dem Interdiözesanen Datenschutzgericht. Dort erzielte das Johannesstift einen Erfolg auf ganzer Linie – die Entscheidung wurde hier bereits ausführlich besprochen.

Porträtfoto von Kerstin Fuchs
Kerstin Fuchs ist Geschäftsführerin des Johannesstifts und in der Geschäftsführung für den Datenschutz zuständig. (Bildquelle: Johannesstift)

In seinem Leitbild hat das Johannesstift festgehalten, dass »Solidarität mit den Schwachen, Kultur der Partizipation, Toleranz gegenüber Weltanschauungen, die die Freiheitsrechte anderer nicht verletzen, und Gerechtigkeit für diejenigen, die Benachteiligungen erlitten haben« das Wirken der Einrichtung prägen. Im Interview berichtet Geschäftsführerin Kerstin Fuchs, warum in ihrer Einrichtung Datenschutz Chefsache ist, wie ein Verfahren vor dem IDSG abläuft – und wie man die Bedürfnisse und Rechte von Kindern und Jugendlichen in der Jugendhilfe berücksichtigt.

Weiterlesen

Checkliste Auftragsverarbeitung nach KDG und DSG-EKD

Kaum eine Einrichtung dürfte ohne Auftragsverarbeitung auskommen: Das Hosting der eigenen Webseite, IT- und Versand-Dienstleistungen und andere Verarbeitungen werden meist extern gelöst. Um das rechtskonform abzubilden, braucht es in der Regel einen Auftragsverarbeitungsvertrag. Viele Dienstleister haben auch schon fertige Musterverträge. Aber schon im Geltungsbereich der DSGVO sind die oft nicht vollständig und korrekt – im kirchlichen Bereich kommt erschwerend dazu, dass Musterverträge selten auf die Existenz anderer Rechtsordnungen und Aufsichtsregime als nach der DSGVO Rücksicht nehmen, und allein mit dem Verweis ist es auch nicht getan.

Symbolbild Auftragsverarbeitung: Eine Brille liegt auf einem Vertrag.
(Bildquelle Mari Helin on Unsplash)

Für die Prüfung von DSGVO-Auftragsverarbeitungsverträgen hat die Berliner Landesdatenschutzaufsicht eine ausführliche und detaillierte Checkliste nebst Ausfüllhinweisen veröffentlicht. Bevor man damit aber Auftragsverarbeitungen im kirchlichen Bereich prüfen oder gestalten kann, braucht es viel Arbeit: Die entsprechenden Paragraphen im KDG und im DSG-EKD sind teils sehr unterschiedlich aufgebaut – und dazu kommen Besonderheiten, die es nur in den kirchlichen Gesetzen gibt. Hier hilft eine KDG- und DSG-EKD-Synopse zur Berliner Checkliste.

Weiterlesen

Avicenna-Studienwerk von Software-Lücke betroffen – kein Datenverlust

Vor zwei Wochen hatte die Berliner Landesdatenschutzbeauftragte in ihrem Tätigkeitsbericht den Fall einer Lücke in Software für Stipendienbewerbungen geschildert. Laut Bericht waren vier Studienstiftungen betroffen. Da durch die Ausrichtungen der nicht namentlich genannten Stiftungen auch Daten zur Religionszugehörigkeit erhoben wurden, ist davon auszugehen, dass auch eine der Stiftungen von Religionsgemeinschaften betroffen war. Nun ist klar, um welche es sich handelt: Auf Anfrage teilte das Avicenna-Studienwerk mit, dass dort die fragliche Software eingesetzt wurde. Ausgenutzt wurde die Sicherheitslücke aber nicht.

Logo des Avicenna-Studienwerks auf einem Standbild des Imagefilms des Werks
Das Avicenna-Studienwerk ist das jüngste der 13 vom Bundesministerium für Bildung und Forschung anerkannten Begabtenförderungswerke in Deutschland. Es fördert begabte und gesellschaftlich engagierte muslimische Studierende und Doktoranden aller Fachrichtungen durch die Vergabe von Stipendien. (Bildquelle: Screenshot Avicenna-Studienwerk)

»Die Herstellerfirma informierte uns unmittelbar über die Sicherheitslücke und deaktivierte die Webseite. Erst nach der Beseitigung der Sicherheitslücke wurde das Bewerbungsportal wieder freigeschaltet«, teilte das muslimische Begabtenförderungswerk auf Anfrage mit. Die zuständige niedersächsische Landesdatenschutzbeauftragte sei durch das in Osnabrück ansässige Werk unmittelbar über den Vorfall informiert worden. »Ein externer Zugriff konnte nach intensiver Prüfung von allen Seiten ausgeschlossen werden. Eine weitere Veranlassung wurde seitens der Landesdatenschutzbehörde für nicht notwendig erachtet«, so das Werk weiter.

Die Berliner Datenschutzbeauftragte hatte mitgeteilt, dass sie Ende August 2021 einen Hinweis erhalten habe, dass durch eine Sicherheitslücke in einer Software für Stipendienportale der Zugriff auf eine große Menge personenbezogener Daten verschiedener Studienstiftungen möglich sei. »Die unsichere Software wurde hauptsächlich zum Bereitstellen von Stipendienbewerbungsportalen genutzt, wo eine große Menge von zum Teil höchstpersönlichen Daten gespeichert werden. Aufgrund der jeweiligen Ausrichtung der betroffenen Studienstiftungen waren zudem besondere Kategorien personenbezogener Daten, wie Religionszugehörigkeit oder Daten zur politischen Überzeugung und Weltanschauung betroffen«, hieß es im Bericht. Die Sicherheitslücke, die auf die falsche Nutzung eines Frameworks zurückging, sei mittlerweile behoben.

Die anderen drei konfessionellen und religiösen Begabtenförderungswerke, die aus Mitteln des Bundesbildungsministeriums gefördert wurden, waren nicht betroffen. Schon vor zwei Wochen teilten sowohl das katholische Cusanuswerk wie das Evangelische Studienwerk Villigst mit, die Software nicht eingesetzt zu haben. Mittlerweile hat sich auch das Ernst-Ludwig-Ehrlich-Studienwerk zu der Sicherheitslücke geäußert: Wie die christlichen Studienwerke setzt auch das jüdische Begabtenförderungswerk die bemängelte Software nicht ein und ist daher nicht betroffen.

Rottenburg-Stuttgart plant eine BDKJ-Cloud für die Jugendarbeit

Michael Medla (28) ist Jurist und seit 2021 Diözesanleiter des Bundes der Deutschen Katholischen Jugend und des Bischöflichen Jugendamtes im Bistum Rottenburg-Stuttgart. Im Diözesanverband ist er unter anderem für das Thema Digitalisierung zuständig. Im Interview berichtet er davon, welchen Stellenwert Datenschutz in der Jugendarbeit hat und wie die Jugendarbeit in Rottenburg-Stuttgart mit einer eigenen Cloud unabhängig von großen Konzernen und kostenlosen, aber wenig datenschutzfreundlichen Tools werden will. Der Start ist schon für dieses Jahr nach der Sommerpause geplant.

Der Rottenburg-Stuttgarter BDKJ-Diözesanleiter Michael Medla steht vor dem BDKJ-Logo vor einer Kamera
Michael Medla wurde 2020 zum BDKJ-Diözesanleiter in Rottenburg-Stuttgart gewählt und ist seit 2021 im Amt.
Weiterlesen

Geldbußen nach KDG und DSG-EKD

Geldbußen waren das Aufregerthema, als das neue Datenschutzrecht wirksam wurde. Mittlerweile ist es um die Bußgelder stiller geworden – vor allem, was die befürchtete Breitenwirkung angeht. Kaum ein kleines Unternehmen, kaum ein kleiner Verein wird gebußt.

Ein Mann hält einen Geldschein hin und verdeckt damit sein Gesicht
(Photo by lucas Favre on Unsplash)

Mit den neuen Richtlinien des Europäischen Datenschutzausschusses zur Ermittlung der Bußgeldhöhe kommt das Thema nun wieder etwas stärker auf die Agenda. Im kirchlichen Datenschutz gibt es solche Leitplanken bislang nicht – aber auch hier ist die Angst vor dem Bußgeld groß. Der Blick in die Gesetze und in die Praxis der Aufsichten kann aber beruhigen.

Weiterlesen